Heute haben wir die Phishers‘ Favorites-Liste für das 4. Quartal 2019 veröffentlicht. In dieser siebten Ausgabe präsentieren die Phishers‘ Favorites die 25 in Phishing-Angriffen am häufigsten nachgeahmten Marken, basierend auf der Anzahl der eindeutigen Phishing-URLs, die von Vade Secure innerhalb des Quartals erkannt wurden. Da wir 600 Millionen Postfächer in 76 Ländern schützen, haben wir einen einzigartigen Überblick über den globalen E-Mail-Verkehr und die Phishing-Kampagnen, die sowohl auf E-Mail-Konten von Verbrauchern als auch von Firmen abzielen.

PayPal ist die Nummer 1 im zweiten Quartal in Folge

Im zweiten Quartal in Folge war PayPal die am häufigsten imitierte Marke bei Phishing-Angriffen. Während PayPal-Phishing im Vergleich zum 3. Quartal um 31 % zurückgegangen ist, stieg das Volumen im Vergleich zum Vorjahr um 23 %. Mit einem täglichen Durchschnitt von 124 eindeutigen URLs ist PayPal-Phishing eine weit verbreitete Bedrohung, die sich sowohl gegen Verbraucher als auch gegen Mitarbeiter von KMUs richtet.

Die anhaltende Beliebtheit von PayPal ist darauf zurückzuführen, dass sich das Hacken von PayPal-Accounts sofort auszahlt. Darüber hinaus bietet PayPal mit mehr als 295 Millionen aktiven Benutzerkonten im 3. Quartal einen massiven Pool potenzieller Ziele für Phishing-Kampagnen.

Wir sehen weiterhin PayPal-Phishing-Angriffe, die legitime Inhalte nutzen, um sowohl Benutzer als auch E-Mail-Filter zu täuschen. Bei früheren Kampagnen wurden Techniken eingesetzt, wie das Vermengen von legitimen URLs mit einer Phishing-URL, die Nutzung legitimer Antwortadressen und die Umleitung von Nutzern auf die eigentliche PayPal-Website, sobald sie ihre Anmeldedaten auf der Phishing-Seite eingegeben hatten.

In einer aktuellen PayPal-Phishing-E-Mail wird eine „neue Anmeldung von einem unbekannten Gerät“ gemeldet, die technische Anmeldedaten wie Betriebssystem, Webbrowser und Version enthält. In der Nachricht wird behauptet, dass der Zugang zum PayPal-Konto der Zielperson so lange eingeschränkt bleibt, bis sie sich einloggt und ihre Identität bestätigt.

Microsoft bleibt das Hauptziel unter den Unternehmen, da das Phishing bei Dateien und Notes zunimmt

Microsoft blieb auch im 4. Quartal das primäre Unternehmensziel und steht auf Platz 3 unserer Liste. Dies ist angesichts des stetigen Wachstums der Office 365-Plattform keine Überraschung. Im Oktober berichtete Microsoft, dass es nun 200 Millionen aktive monatliche Office 365-Business-Anwender gibt. Wenn man betrachtet, wie viele KMUs noch immer ausschließlich auf Microsoft EOP vertrauen, müssen Cyberkriminelle ihre Phishing-Kampagnen nur noch so gestalten, dass sie die nativen Abwehrmechanismen von Office 365 umgehen. Mit kompromittierten O365-Konten können sie auf vertrauliche Informationen zugreifen, die in SharePoint, OneDrive, Skype usw. gespeichert sind, und gleichzeitig Spear-Phishing-Angriffe auf andere Mitarbeiter oder Partner starten.

Wir sehen weiterhin eine Vielzahl von Office 365-Phishing-Angriffen, darunter auch den Trend, über den wir bereits im letzten Quartal berichtet haben: Phishing gemeinsam genutzter Dateien über falsche OneDrive- und SharePoint-Seiten. Diese Kampagnen reichen von gefälschten OneDrive-/SharePoint-Benachrichtigungen, die direkt zu einer Phishing-Seite führen, bis hin zu legitimen Benachrichtigungen, die zu Dateien mit Phishing-URLs führen.

Wie wir kürzlich in unseren Email Security Predictions 2020 erwähnt haben, sehen wir eine Entwicklung vom File-Sharing-Phishing hin zu Note-Phishing, das sich als OneNote und Evernote ausgibt. Die Kampagnen funktionieren genauso: Sie erhalten entweder eine gefälschte Benachrichtigung, die direkt zu einer Phishing-Seite führt, oder eine echte Freigabebenachrichtigung zu einer Notiz, die eine Phishing-URL enthält. Der Unterschied besteht darin, dass OneNote- oder EverNote-Notizen keine Dateien, sondern HTML-Seiten sind. Die Technologie, die Anbieter von E-Mail-Sicherheitsdiensten zum Scannen von Dateiinhalten verwenden, funktioniert mit HTML-Seiten nicht, was bedeutet, dass diese E-Mails mit einer höheren Wahrscheinlichkeit den Posteingang der Benutzer erreichen.

Nach 6 Wachstums-Quartalen nimmt das Netflix-Phishing endlich ab

Eine der größten Überraschungen in unserem Q4-Bericht ist, dass das Phishing bei Netflix tatsächlich zurückgegangen ist! Bislang war Netflix-Phishing beispielhaft konsistent und wuchs sechs Quartale in Folge. Doch dieser Trend kehrte sich im 4. Quartal abrupt um, mit einem Rückgang von 50,2 % bei den einzigartigen Phishing-URLs. Die 6.758 von Vade Secure im vierten Quartal entdeckten Netflix-Phishing-URLs waren die kleinste Gesamtmenge seit Q2 2018.

Phishing im Finanzdienstleistungsbereich dominiert weiterhin und zielt auf kleinere, zweitrangige Banken ab

Im zweiten Quartal gehörten die meisten Marken und URLs in unserem Phishers‘ Favorites-Bericht zu Finanzdienstleistungsunternehmen. Die Zahl der Finanzmarken blieb mit 10 konstant, wobei der Zugang von Square, ATB Financial und M&T Bank den Weggang von Wells Fargo, SunTrust Bank und Societe Generale ausglich. Die Anzahl der Cloud-, E-Commerce/Logistik- und Regierungsorganisationen blieb mit sechs, drei bzw. einem Unternehmen konstant. Bei den sozialen Medien kamen zwei Unternehmen hinzu (WhatsApp und Instagram), während im Bereich Internet/Telekom zwei Unternehmen (Yahoo! und AT&T) verlorengingen.

Was den Anteil der Phishing-URLs insgesamt betrifft, so führten die Finanzdienstleistungen mit 37 %, gefolgt von der Cloud (27 %), den sozialen Medien (24 %), E-Commerce/Logistik (7 %), Internet/Telekommunikation (4 %) und Regierung (1 %). Interessant ist, wie sich die verschiedenen Arten von Finanzinstitutionen im Verhältnis zueinander verhalten haben. Die Phishing-Aktivitäten, die auf die größten Banken abzielen, gingen weitgehend zurück, wobei die Bank of America (-21,5 %), Chase (-14,6 %), Credit Agricole (-30 %) und Wells Fargo (-54,4 %) alle weniger Phishing-URLs sahen. Der Ausreißer in dieser Kategorie war die BNP Paribas, Frankreichs zweitgrößte Bank nach Vermögenswerten, bei der das Phishing um 23,1 % zunahm. Unterdessen nahm die Zahl der Phishing-Angriffe auf kleinere, zweitrangige Banken zu, angeführt von M&T Bank (469,8 %), Desjardins (54,4 %) und ATB Financial (0,7 %).

Diese Verlagerung hin zu Phishing bei Kunden kleinerer Banken könnte den gleichen allgemeinen Trend widerspiegeln, den wir bei der wachsenden Anzahl an E-Mail-Angriffen auf kleine Unternehmen beobachten. Die Ransomware-Welle von 2016 z. B. richtete sich gegen große Unternehmen, die als Reaktion auf größere Geschäftsstörungen in stärkere Cyber-Sicherheitskontrollen investierten. Kleinere Unternehmen verfügen in der Regel nicht über das gleiche Schutzniveau, weshalb sich die Ransomware-Angriffe auf kleine und mittelständige Unternehmen sowie lokale Behörden verlagert haben. In ähnlicher Weise haben große Banken in den Aufbau von SOCs, in die Reaktion auf Vorfälle sowie in Verfahren zur Eindämmung von Phishing-Kampagnen, bei denen ihre Marke imitiert wird, investiert. Kleinere Banken verfügen möglicherweise nicht über das gleiche Maß an Kontrollen.

Das Phishing in den sozialen Medien nimmt weiter zu, angeführt von WhatsApp und Instagram

Obwohl nur drei Marken unter den Top 25 sind, erhöhte sich der Anteil an Phishing-URLs von 13,1 % im 3. Quartal auf 24,1 % im 4. Quartal 2019. Dieses Wachstum wurde durch WhatsApp, das um 63 Punkte auf Platz 5 schoss, und Instagram, das um 16 Punkte auf Platz 13 stieg, vorangetrieben. Die verbleibende soziale Marke, Facebook, stieg trotz eines Rückgangs von 18,7 % bei den Phishing-URLs um zwei Plätze auf Platz 2. Im Jahresvergleich stieg Facebook jedoch um 358,8 %.

Was WhatsApp betrifft, so ist die erstaunliche Zunahme von Phishing-URLs in erster Linie auf eine Kampagne zurückzuführen, bei der die Empfänger in die so genannte Berbagi WhatsApp-Gruppe eingeladen werden, die für pornografische Inhalte wirbt. Darüber hinaus scheint es, dass der Webhosting-Provider 000webhost gehackt und zum Hosten der Phishing-Seiten verwendet wurde. Beachten Sie die konsistente Struktur dieser URL-Beispiele:

https://segera-masuk-bokep-wa-2019.000webhostapp.com
https://join-grup-video-bokep62.000webhostapp.com
http://join-grup-video-bokep62.000webhostapp.com
https://working-class-total.000webhostapp.com
http://frice123.000webhostapp.com
http://grupwassap2019.000webhostapp.com
https://grupwassap2019.000webhostapp.com
http://join-grub-bokep-whatsap.000webhostapp.com
https://join-grub-bokep-whatsap.000webhostapp.com
https://grupwadwsa0.000webhostapp.com
https://grup-bokep-whatsap-terbaru.000webhostapp.com
http://grup-bokep-whatsap-terbaru.000webhostapp.com

Was Facebook betrifft, könnte eine plausible Erklärung für seine anhaltende Beliebtheit der Anstieg des Social-Sign-Ons, der Anmeldungen mit dem Facebook-Login, sein. Mit einem Satz Facebook-Anmeldedaten können Phisher sehen, welche anderen Apps ein Nutzer per Social Sign-On autorisiert hat — um dann diese Konten zu knacken.

Darüber hinaus versuchen Cyberkriminelle möglicherweise nicht, sich durch Phishing in sozialen Medien finanziell zu bereichern, sondern sie sammeln Anmeldedaten und versuchen dann, die Passwörter wiederzuverwenden, um sich in andere Online-Dienste zu hacken. Immerhin ergab eine Google-Umfrage von 2019, dass zwei von drei Personen dasselbe Passwort für mehrere Konten verwenden.

Abschließend sei noch erwähnt, dass Facebook im November ein neues Zahlungssystem  mit der Bezeichnung Facebook Pay eingeführt hat. Facebook Pay ist über Facebook, Messenger, Instagram und WhatsApp verfügbar und ermöglicht es Benutzern, Geld an Freunde zu senden, Waren einzukaufen oder sogar für Spendenaktionen zu sammeln. Es wird interessant sein zu sehen, ob Facebook Pay das Phishing bei den Facebook-Marken weiter vorantreibt, insbesondere, wenn die Größe der Nutzerbasis dieses Dienstes die von PayPal erreicht und übersteigt.

Freitag war der Top-Tag für Phishing

Zum ersten Mal seit Beginn unserer Analysen war der Freitag insgesamt der wichtigste Tag für Phishing-E-Mails, dicht gefolgt vom Donnerstag. Dienstag, Mittwoch und Montag nahmen die mittleren drei Plätze ein. Wie üblich lagen Samstag und Sonntag am unteren Ende der Skala.

Wie auf der Heatmap zu sehen ist, war der Freitag einer der beiden Top-Tage für sieben der Top-Marken, wie PayPal, Facebook, Netflix, WhatsApp und Bank of America. Da es sich dabei hauptsächlich um verbraucherorientierte Marken handelt, versuchen Phisher wahrscheinlich, Kunden dieser Marken genau dann zu erreichen, wenn sie diese Dienste aktiv nutzen, sodass sie eher bereit sind, die geforderten Maßnahmen zu ergreifen. Stellen Sie sich vor, Sie müssten ein ganzes Wochenende ohne Zugang zu Ihrem Netflix-Konto ausharren!

Auf der anderen Seite setzte Microsoft-Phishing seinen Trend fort und erreichte in der Wochenmitte seinen Höhepunkt, wobei Mittwoch und Donnerstag die beiden wichtigsten Tage im vierten Quartal waren. Dies ist logisch, da Phisher Mitarbeiter in Unternehmen erreichen wollen, wenn sie im Büro und mit ihren E-Mail-Konten bei der Arbeit aktiv sind.

Schließlich haben wir oben zwar festgestellt, dass Samstag und Sonntag die am wenigsten verbreiteten Tage für Phishing sind, aber wir haben dennoch auch gesehen, dass Cyberkriminelle allmählich immer mehr Kampagnen an den Wochenenden starten. In den letzten vier Quartalen ist der Anteil der am Wochenende versandten Phishing-URLs von 19,8 % auf 21,2 % gestiegen. Das ist zwar kaum weltbewegend, aber es lohnt sich, dies im Auge zu halten, da die Nutzer am Wochenende dazu neigen, unaufmerksam zu sein.

MSPs: Nutzen Sie die Phishers‘ Favorites, um Ihre Kunden zu informierenFür Sie als MSP stellen die Phishers‘ Favorites einen wertvollen Datenschatz dar, mit dem Sie Ihre Kunden über die dynamische Bedrohungslandschaft und ihre kontinuierliche Entwicklung informieren können. Letztendlich könnte dies eine Gelegenheit sein, die bestehende E-Mail-Sicherheit des Kunden neu zu bewerten und eine Lösung wie Vade Secure für Office 365 zu positionieren.